cybersec news | ИБ и IT

В последние недели специалисты Threat Down наблюдают всплеск вредоносной рекламы в Google, нацеленной на IT-специалистов. Кампания направлена на то, чтобы получить доступ к системам жертв и похитить конфиденциальные данные. Исследования показали использование единой инфраструктуры для распространения двух вредоносных программ: MadMxShell и WorkersDevBackdoor. Самым интересным открытием стало то, что C2-сервер MadMxShell напрямую связан с инфраструктурой доставки WorkersDevBackdoor. Обе вредоносные программы способны собирать и похищать конфиденциальные данные, а также предоставлять начальный доступ для операторов вымогательского ПО. - MadMxShell распространяется через вредоносные объявления для сканеров IP. Программа использует перехват DLL и DNS для связи с C2-сервером через OneDrive.exe. - WorkersDevBackdoor имеет более сложную историю и была описана компанией eSentire. Особенность заключается в упаковке полезной нагрузки в архив, защищённый паролем. Полезная нагрузка привязана к троянам ThunderShell RAT и Parcel RAT. WorkersDevBackdoor работает через установщик NSIS с зашифрованным архивом 7z и размещает полезную нагрузку на Dropbox. Большинство вредоносных объявлений связано со сканерами IP и перенаправляет на инфраструктуру, которую исследователи назвали goodgoog1e. Название происходит от адреса электронной почты злоумышленника, который связывает все домены вместе. Все цепочки заражений исходят от одного источника, но от различных рекламных аккаунтов. Одно из объявлений использовалось для доставки обоих вредоносных программ через домен «angryipo[.]org». MadMxShell использует несколько обфусцированных скриптов для загрузки полезной нагрузки, включая сложный скрипт, создающий однострочник для автоматической загрузки. WorkersDevBackdoor размещается на Dropbox с вращающимися URL-адресами, динамически загружаемыми через «azureedge[.]net». В недавней кампании C2-сервер MadMxShell сменился с «litterbolo[.]com» на «getstorege[.]com». Домен «getstorege[.]com» был зарегистрирован на тот же адрес электронной почты, что и для инфраструктуры доставки обеих вредоносных программ. Один из образцов WorkersDevBackdoor включал скрипт PowerShell, проверяющий наличие определённых программ, таких как RDP, TeamViewer и другие, чтобы определить, завершать ли установку вредоносного ПО. Скрипты PowerShell, которые проверяют, подключен ли компьютер к домену, позволяют злоумышленникам избегать тревоги в песочницах или виртуальных машинах. Это хорошее напоминание о том, что файл, просканированный статически или даже запущенный в песочнице, может оказаться легитимным просто потому, что не были выполнены условия для его правильного выполнения.

Эксперты обнаружили серию скоординированных DNS-атак, направленных на криптовалютные DeFi-платформы, размещающие свои домены у Squarespace. Злоумышленники перенаправляют посетителей этих ресурсов на фишинговые сайты, которые похищают криптовалюту. В конце прошлой недели сразу несколько криптоплатформ, включая Celer Network, Compound Finance, Pendle Finance и Unstoppable Domains, предупредили о том, что DNS-записи их доменов изменены, и теперь сайты перенаправляют пользователей на фишинговые ресурсы, которые похищают криптовалюту и NFT с подключенных к ним кошельков. Все эти домены объединяло то, что у них был общий регистратор — Squarespace. Представители Compound Finance писали, что основной домен проекта захвачен фишерами и предупреждали пользователей, чтобы те не посещали сайт, предложив вместо него безопасную альтернативу. Также всем, кто взаимодействовал с dApps Compound, рекомендовали как можно скорее отозвать доступ. В Celer Network сообщали, что тоже стали жертвой DNS-атаки. Однако, согласно заявлению компании, ее специалисты пресекли эту попытку и быстро восстановили DNS-записи. В Pendle и Unstoppable Domains столкнулись с аналогичными проблемами, из-за чего компании рекомендовали пользователям немедленно отозвать одобрение смарт-контрактов и очистить кеш браузера. Все пострадавшие платформы заверили пользователей, что эти DNS-атаки не были связаны с компрометацией их протоколов или систем, а средства пользователей находятся в безопасности. Впрочем, это не относится к тем, кто успел ввести свои данные на фишинговых сайтах. Этим пользователям необходимо срочно отозвать все одобрения, связанные со смарт-контрактами, сменить пароли и перевести средства на другие кошельки. Как выясняется теперь, все пострадавшие домены были изначально зарегистрированы через Google Domains. Но летом 2023 года компания Squarespace приобрела Google Domains и начала переводить бывших клиентов Google на свою инфраструктуру в июне 2024 года. Судя по всему, корень проблемы кроется в том, что в рамках миграции на Squarespace в учетных записях была отключена многофакторная аутентификация (МФА), чтобы предотвратить случайную блокировку учетных записей администраторов. Служба поддержки Squarespace предупреждала владельцев доменов Google Domains о необходимости включить МФА чтобы обеспечить дополнительную защиту своих доменов. Согласно изначальной теории ИБ-специалистов из Paradigm и Metamask, хакеры узнали об отключении МФА и воспользовались ситуацией. Они могли использовать украденные или случайно попавшие в открытый доступ учетные данные для доступа к аккаунтам администраторов и последующего изменения записей DNS, что позволило скомпрометировать сайты и частные почтовые серверы. Однако теперь, спустя несколько дней, исследователи выдвинули новую версию: злоумышленники могли обнаружить ошибку в методе, который Squarespace использовала для переноса данных клиентов Google Domains на свои серверы, что позволило хакерам подобрать email-адреса, связанные с учетными записями администраторов, и зарегистрировать аккаунты на себя. Согласно отчету исследователей, Squarespace предварительно зарегистрировала ряд email-адресов, которые нужно было назначить администраторами домена после переноса, не проверяя, существуют ли эти аккаунты. Для этого использовались две категории адресов: email-адреса, связанные с оригинальным аккаунтом Google Domains, и адреса всех контрибьюторов, связанных с конкретным доменом. Специалисты уже составили список связанных с криптовалютами доменов, которые размещены на Squarespace. Пользователям не рекомендуется заходить на эти сайты, пока их администраторы не подтвердят, что они защитили свои домены и включили МФА для учетных записей Squarespace. Также исследователи предупреждают, что злоумышленники могут попытаться использовать захваченные домены для развития атак и перехода в другие системы внутри организаций. К примеру, уже были замечены случаи, когда хакеры создавали новые учетные записи администраторов Google Workspace и регистрировали в них новые устройства и браузеры.

«Лаборатория Касперского» в ответ на западные санкции приняла решение уйти с рынка США. Ранее в США под предлогом угрозы национальной безопасности запретили продажу продуктов Kaspersky. Первой на ответ «Лаборатории Касперского» обратила внимание журналистка Ким Зеттер, специализирующаяся на темах кибербезопасности и национальной безопасности. На сегодняшний день ожидается, что Kaspersky остановит свою деятельность в США 20 июля 2024 года. Именно в эту дату вступит в силу запрет на использование продуктов техногиганта. Чуть менее 50 сотрудников американских филиалов будут уволены.

🔥 Канал для профессионалов в сфере информационной безопасности Security Vision – ваш надежный источник актуальных статей, бесплатных вебинаров, обзоров платформы и свежих новостей из мира ИБ. ➡️ Присоединяйтесь к @svplatform, чтобы всегда быть в курсе новейших событий в информационной безопасности.

Компания Netgear предупредила пользователей о необходимости как можно скорее обновить прошивку своих устройств. Дело в том, что обновленная версия прошивки исправляет хранимую XSS и обход аутентификации в нескольких моделях маршрутизаторов компании. Хранимая XSS-уязвимость затрагивает игровые маршрутизаторы Nighthawk XR1000. Хотя компания пока не раскрывает никаких подробностей об этой проблеме, обычно эксплуатация подобных уязвимостей позволяет перехватывать пользовательские сессии, перенаправлять пользователей на вредоносные сайты, отображать поддельные формы входа, а также похищать конфиденциальную информацию и выполнять действия с правами скомпрометированного пользователя. Проблема обхода аутентификации затрагивает маршрутизаторы CAX30 Nighthawk AX6 6-Stream. В этом случае Netgear так же не раскрывает никакой информации об уязвимости, но подобные проблемы обычно имеют максимальный уровень серьезности, поскольку могут предоставить злоумышленникам несанкционированный доступ к административному интерфейсу и привести к полному захвату целевого устройства.

Вышла новая версия дистрибутива Whonix 17.2, предназначенного для обеспечения анонимности и защиты личных данных. Основанный на Debian GNU/Linux, Whonix использует сеть Tor для обеспечения анонимного интернет-соединения. Проект распространяется под лицензией GPLv3, а скачать можно образы виртуальных машин для VirtualBox и KVM. Whonix состоит из двух компонентов: Whonix-Gateway и Whonix-Workstation. Первый действует как сетевой шлюз, направляющий трафик через Tor, в то время как второй предоставляет рабочую среду. Эта конфигурация предотвращает утечку реального IP-адреса пользователя, даже если система будет взломана. При использовании Whonix-Workstation атакующий сможет получить только фиктивные сетевые параметры, так как реальные IP и DNS скрыты за Whonix-Gateway. Однако стоит отметить, что запуск компонентов Whonix на одном и том же компьютере не рекомендуется из-за потенциальных уязвимостей виртуализации. В Whonix-Workstation используется окружение Xfce и предустановлены программы такие как VLC, Tor Browser, Thunderbird+TorBirdy, и Pidgin. В Whonix-Gateway включены серверные приложения для создания скрытых сервисов Tor. Возможно подключение к другим анонимным сетям, таким как Freenet и i2p, через Tor. Сравнение Whonix с другими дистрибутивами можно найти здесь . Пользователи могут подключить через Whonix-Gateway свои обычные системы для обеспечения анонимности. Основные изменения в Whonix 17.2 включают: - Обновления на базе компонентов дистрибутива Kicksecure , добавляющего дополнительные механизмы безопасности. - Подключение к сети Tor по умолчанию без необходимости настройки при первой загрузке. - Перевод межсетевого экрана Whonix-Firewall с iptables на nftables. - Улучшенная поддержка IPv6. - Продолжение работы над экспериментальной сборкой Whonix-Host для запуска виртуальных машин. - Обновление версий Tor и Tor Browser. - Поддержка децентрализованной P2P-сети Bisq 2 для обмена криптовалютами. - Обновление шаблонов для ОС Qubes , переход с pulseaudio на pipewire. - Увеличение объема ОЗУ для Whonix-Gateway и Whonix-Workstation при запуске под гипервизором KVM.

Киберпреступникам иногда требуется всего 22 минуты на применение в атаках новых демонстрационных эксплойтов (PoC). Команда Cloudflare Application Security указывает на внушительную оперативность злоумышленников. Обрабатывая в среднем 57 миллионов HTTP-запросов в секунду, аналитики из Cloudflare отмечают повышенную активность сканирования на наличие свежих уязвимостей, уже успевших получить CVE-идентификатор. Далее атакующие сразу же пытаются провести инъекцию команд и задействовать доступные PoC. Наиболее ходовыми брешами у злоумышленников стали: CVE-2023-50164 и CVE-2022-33891 в продуктах Apache, CVE-2023-29298, CVE-2023-38203 и CVE-2023-26360 в Coldfusion, а также CVE-2023-35082 в MobileIron. Характерным примером является эксплуатация CVE-2024-27198: киберпреступникам понадобились всего 22 минуты, чтобы развернуть соответствующий PoC в атаках. Специалисты считают, что эффективно бороться с такой скоростью можно только с помощью ИИ-помощника, который поможет оперативно разработать грамотные правила детектирования. Эксперты также подчеркнули роль специализации злоумышленников на конкретных категориях уязвимостей и затронутых продуктах. Такой подход помогает развить чёткую стратегию по наиболее быстрому применению эксплойтов в атаках.

Google объявил о повышении выплат за найденные уязвимости в своих системах и приложениях. Поскольку системы компании стали более защищёнными, и теперь требуется гораздо больше времени на обнаружение ошибок, Google решил увеличить некоторые выплаты в 5 раз. В рамках программы Vulnerability Reward Program (VRP) теперь можно получить до $151 515 за одну выявленную ошибку безопасности. Сумма включает в себя $101 010 за RCE-уязвимость в наиболее чувствительных системах компании, умноженные на коэффициент 1,5 за исключительное качество отчёта. Все обнаруженные уязвимости будут рассматриваться в соответствии с новыми правилами выплат. Помимо увеличения сумм вознаграждений, Google расширил возможности получения выплат, включив возможность получения денег через платформу Bugcrowd. В обновлённом разделе правил Google VRP можно найти подробную информацию о новых суммах вознаграждений и структуре выплат. Примеры новых выплат: - Уязвимость логики, приводящая к захвату аккаунта gmail(.)com: $75 000; - XSS-уязвимость на idx.google(.)com: $15 000; - Ошибка логики, раскрывающая личную информацию на home.nest(.)com: $3 750. С момента запуска программы VRP в 2010 году Google выплатила более $50 миллионов исследователям безопасности, которые сообщили о более 15 000 уязвимостей. За прошлый год Google выплатила $10 миллионов, при этом самая большая награда составила $113 337.

Более полутора миллионов почтовых серверов, на которых запущена уязвимая версия Exim, открыты для кибератак, в ходе которых злоумышленники могут направить пользователям вложения с вредоносным кодом. Критическая уязвимость в Exim обсуждается уже больше недели. Проблему отслеживают под идентификатором CVE-2024-39929. Эксплойт может позволить атакующим обойти защитные механизмы, задача которых — блокировать отправку вложений, способных устанавливать приложения или выполнять код. Фактически злоумышленники могут обойти один из первых слоёв защиты почтовых ящиков пользователей от вредоносных писем. По данным исследователей из Censys, из общего числа 6,5 млн доступных почтовых серверов 4,8 млн используют Exim. При этом более полутора миллионов работают с уязвимой версией клиента. На сегодняшний день специалисты не видят признаков эксплуатации бага в реальных кибератаках.

Пользователи 98 стран находятся под угрозой хакерских атак. Похоже, Apple засекли вторую волну шпионских программ, пытающихся массово скомпрометировать устройства. Первая состоялась в апреле этого года и охватила 92 страны. На этот раз количество стран увеличилось до 98. В качестве предупреждения, компания запустила рассылку уведомлений с текстом:

Apple обнаружила, что вы стали жертвой наемной шпионской атаки, которая пытается удаленно скомпрометировать iPhone, связанный с вашим Apple ID [номер]. Эта атака, вероятно, нацелена именно на вас из-за того, кто вы и чем занимаетесь. Никогда нельзя быть уверенным в обнаружении подобных атак, тем не менее Apple настойчиво просит отнестись к этому сообщению серьезно.

Подробности о заказчиках и исполнителях держатся в секрете, поскольку их разглашение может помочь злоумышленникам избежать обнаружения в будущем. Также стоит заметить изменения в формулировке сообщения. «Атаки, спонсируемые государством», как это звучало в прошлый раз, сменили на «наемные шпионские атаки». Как утверждают в компании, Apple полагается исключительно на «внутреннюю информацию об угрозах и расследованиях для обнаружения подобных атак».